Otel WiFi KVKK Uyumu: PMS Entegrasyonu Rehberi 2024

Otel WiFi Hizmetinde KVKK ve 5651 Sayılı Kanun: Neden İki Zorunluluk Birlikte Düşünülmeli?

Türkiye'de faaliyet gösteren otel, apart otel, butik konaklama ve tatil köyü işletmeleri, misafirlerine sundukları WiFi erişimi nedeniyle hem 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun hem de 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında çifte yükümlülük altındadır. 5651 sayılı kanun, erişim sağlayıcısı sıfatıyla tüm internet trafiğinin kayıt altına alınmasını ve iki yıl süreyle saklanmasını emrederken, KVKK veri minimizasyonu, amaç sınırlaması ve saklama süresinin orantılılığını gerektirir. Bu iki hukuki zorunluluğun kesişim noktasında, otel işletmelerinin en kritik ihtiyacı Property Management System (PMS) entegrasyonu ile senkronize çalışan, otomatik KVKK uyumlu loglama altyapısıdır.

Geleneksel uygulamalarda otel resepsiyonu misafir bilgilerini PMS'e kaydeder, ardından ayrı bir hotspot portalında tekrar manuel giriş yaparak WiFi erişimi açar. Bu süreç hem operasyonel hata riskini artırır hem de kişisel verilerin gereksiz yere çoğaltılmasına, farklı sistemlerde tutarsız saklanmasına yol açar. KVKK'nın 4. ve 5. maddelerinde belirtilen "işlendikleri amaç için gerekli olan süre kadar saklanması" ve "doğru ve gerektiğinde güncel tutulması" ilkeleri, bu dağınık yapıda ihlal edilmeye açıktır. Oysa PMS entegrasyonlu bir hotspot çözümü, check-in anında misafir kimlik, oda numarası ve konaklama süresi bilgilerini otomatik alarak hem 5651 loglamasını başlatır hem de check-out ile birlikte erişimi sonlandırıp gereksiz veri biriktirmeden temizlik yapar.

Opera, Elektraweb, Amonra: Türkiye Otel Sektöründe Yaygın PMS Sistemleri ve Entegrasyon Gereksinimleri

Türkiye otel pazarında üç ana PMS platformu öne çıkar: Oracle Opera Cloud/Opera PMS (büyük zincir oteller ve beş yıldızlı tesisler), Elektraweb PMS (orta ölçek butik otel ve apart oteller) ve Amonra PMS (yerli, maliyet-etkin çözüm arayan bağımsız işletmeler). Her üç sistemin de REST API veya SOAP web servisi üzerinden rezervasyon, check-in/check-out olayları ve misafir profil verilerini dışarıya açma yeteneği vardır. Ancak entegrasyonun başarısı, hotspot platformunun bu API'leri gerçek zamanlı dinleyebilmesi ve aldığı veriyi KVKK Aydınlatma Metni kapsamında işleyebilmesi ile ölçülür.

Opera PMS entegrasyonu genellikle Oracle Hospitality Integration Platform (OHIP) üzerinden gerçekleşir. OHIP, check-in (arrival) ve check-out (departure) olaylarını webhook ile bildirir; hotspot sistemi bu bildirimi alır, misafir adı-soyadı, oda numarası, pasaport/TC kimlik numarası ve konaklama bitiş tarihini çekerek otomatik kullanıcı hesabı oluşturur. Kritik nokta: pasaport veya TC kimlik numarası gibi hassas kişisel veriler, hotspot veritabanında şifrelenerek (AES-256) saklanmalı ve KVKK madde 12 uyarınca teknik-idari tedbirler belgelenmelidir.

Elektraweb PMS, XML-RPC veya RESTful endpoint sağlar. Entegrasyon sırasında dikkat edilmesi gereken husus, Elektraweb'in misafir profilinde birden fazla kişi (aile rezervasyonu) barındırabilmesidir. Hotspot sistemi, oda başına birincil misafirin kimliğini loglamakla yükümlüdür; ancak KVKK açısından refakatçi misafirlerin verilerini gereksiz yere işlemek veri minimizasyonu ilkesini ihlal eder. Doğru yaklaşım, sadece hukuki sorumluluk taşıyan (check-in yapan) kişinin kimlik bilgisini almak, diğer cihazlar için MAC adresi ve zaman damgası ile yetinmektir.

Amonra PMS daha basit bir mimari sunar; çoğunlukla MySQL veritabanı doğrudan sorgusu veya basit HTTP POST ile veri aktarımı tercih edilir. Küçük ölçekli işletmeler için maliyet avantajı sağlasa da, güvenlik açısından veritabanı erişim kimlik bilgilerinin hotspot sunucusunda açık metin saklanmaması, en azından ortam değişkeni veya secret manager kullanılması gerekir. KVKK denetimlerinde, üçüncü taraf entegrasyonlarda alınan güvenlik önlemleri mutlaka sorgulanır.

Entegrasyon Sırasında KVKK Uyum Kontrol Listesi

Bulut Tabanlı Loglama ve Hotspot Sistemlerinde KVKK Saklama Süresi Dengesi

5651 sayılı kanunun 5. maddesi ve Erişim Sağlayıcılarının Uyacakları Usul ve Esaslar Hakkında Yönetmelik'in EK-1 bölümü, kullanıcı erişim kayıtlarının (IP, MAC, zaman damgası, kimlik bilgisi) iki yıl süreyle saklanmasını emreder. Ancak KVKK madde 4/2, kişisel verilerin "işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesini" gerektirir. Bu iki süre arasındaki çelişki nasıl çözülür?

Çözüm, veri kategorilerine göre farklılaştırılmış saklama politikasıdır:

• Trafik logları (IP, port, zaman damgası, URL/domain): 5651 uyarınca iki yıl saklanır. KVKK açısından bu süre, "hukuki yükümlülüğün yerine getirilmesi" işleme şartı (madde 5/2-ç) ile meşrudur.
• Kimlik bilgileri (TC/pasaport, ad-soyad): 5651 EK-1 yine iki yıl der, ancak KVKK orantılılık ilkesi gereği misafir check-out yaptıktan sonra kimlik bilgisinin trafik logu ile ilişkilendirilme ihtiyacı azalır. Pratik çözüm: kimlik bilgisini check-out + 30 gün sonra anonimleştirmek (hash'e dönüştürmek veya silmek), trafik logunu ise iki yıl saklamaya devam etmektir. Böylece yetkili makam talebi geldiğinde son 30 gün içindeki kayıtlar tam kimlikli sunulabilir, eski kayıtlar ise sadece IP/MAC bazında sorgulanabilir.
• Oda numarası, telefon, e-posta: KVKK madde 5/2-a (açık rıza) veya 5/2-c (sözleşmenin ifası) ile işlenebilir, ancak konaklama sona erince bu veriler pazarlama izni yoksa derhal silinmelidir. PMS entegrasyonunda, check-out eventi tetiklendiğinde hotspot sistemi otomatik temizlik scripti çalıştırmalıdır.

Bulut tabanlı sistemlerde (NextLog5651 gibi), saklama süresi politikaları otomatik retention policy ile uygulanır. Örneğin AWS S3 lifecycle rule veya Azure Blob storage tier geçişi kullanılarak, iki yıl dolunca loglar otomatik arşiv katmanına taşınır veya silinir. Manuel müdahale gerektirmediği için hem operasyonel hata riski azalır hem de KVKK denetiminde "teknik tedbir" olarak sunulabilir.

Adım Adım: PMS Entegrasyonlu Otel WiFi Kurulumu ve KVKK Uyum Süreci

Aşağıdaki adımlar, Opera PMS kullanan orta-büyük ölçekli bir otel için örnek senaryodur. Elektraweb ve Amonra için API endpoint ve veri formatı değişse de mantık aynıdır.

1. Ön Hazırlık: KVKK Aydınlatma Metni ve Açık Rıza Formu

Entegrasyondan önce, otelin misafir aydınlatma metni güncellenmelidir. Metin şu unsurları içermelidir:

• Veri sorumlusu: Otel işletmesi unvanı, adres, iletişim
• İşlenen veriler: Ad-soyad, TC/pasaport, oda numarası, cihaz MAC adresi, internet erişim logları
• İşleme amacı: 5651 sayılı kanun yükümlülüğü, WiFi hizmeti sunumu
• Saklama süresi: Trafik logu 2 yıl, kimlik bilgisi check-out + 30 gün
• Üçüncü taraflara aktarım: Bulut hizmet sağlayıcısı (veri işleyen sıfatıyla), yetkili makamlara yasal talep halinde
• Veri sahibi hakları: Erişim, düzeltme, silme, işlemenin durdurulması talep hakkı (madde 11)

Check-in formuna bu metin eklenir ve misafirin dijital veya ıslak imzası alınır. Opera PMS'te "Guest Profile" altında "Consent" alanı oluşturulup imza tarihi kaydedilmelidir.

2. API Entegrasyonu: Opera OHIP Webhook Dinleme

Opera Cloud, OHIP üzerinden RoomCheckedIn ve RoomCheckedOut eventlerini yayınlar. Hotspot sistemi (NextLog5651), bu eventleri dinlemek için bir HTTPS endpoint açar:

• Endpoint: https://hotspot.oteladi.com/api/pms/opera/webhook
• Güvenlik: OHIP'ten gelen isteklerin IP whitelist kontrolü + HMAC imza doğrulaması
• Veri akışı: Event geldiğinde, guestId, roomNumber, arrivalDate, departureDate çekilir. Ardından Opera'nın /rsv/v1/hotels/{hotelId}/reservations/{reservationId} endpoint'ine GET isteği atılarak misafir kimlik bilgisi (passport/nationalId) alınır.
• Hotspot hesabı oluşturma: Kullanıcı adı: oda numarası (ör. room305), şifre: rastgele 8 haneli kod (SMS veya basılı kart ile teslim), VLAN: misafir ağı, bandwidth limit: 10 Mbps, oturum süresi: departureDate'e kadar.

Check-out eventi geldiğinde, hotspot hesabı devre dışı bırakılır ve 30 gün sonra kimlik bilgisi anonimleştirilmek üzere işaretlenir (cron job).

3. Firewall/Router Entegrasyonu: Syslog ve RADIUS

Otel ağında kullanılan firewall (FortiGate, SonicWall, Sophos) veya controller (UniFi, Ruckus), hotspot sistemine RADIUS üzerinden kullanıcı doğrulama yapar ve syslog ile trafik loglarını gönderir. Örnek FortiGate konfigürasyonu:

• RADIUS Server: NextLog5651 bulut IP, port 1812, shared secret
• Syslog: config log syslogd setting → set status enable, set server "nextlog-ip", set port 514
• Firewall Policy: Misafir VLAN'ından gelen trafiği logla (set logtraffic all), ancak sadece oturum başlangıç/bitiş ve URL kategorisi kaydet (KVKK veri minimizasyonu — tam paket içeriği loglanmaz).

MikroTik kullanılan küçük otellerde, Hotspot User Manager yerine NextLog5651 RADIUS entegrasyonu tercih edilir; böylece merkezi log yönetimi ve KVKK uyumlu otomatik temizlik sağlanır.

4. KVKK Veri Envanteri ve Periyodik Denetim

KVKK madde 10, veri sorumlularının Veri Envanteri (VERBIS) tutmasını gerektirir. Otel, hotspot sisteminde işlenen kişisel verileri şu şekilde kayda geçirmelidir:

• Veri kategorisi: Kimlik, iletişim, işlem güvenliği
• Hukuki sebep: 5651 sayılı kanun (madde 5/2-ç), sözleşmenin ifası (madde 5/2-c)
• Saklama ve imha: Trafik logu 2 yıl otomatik silme, kimlik 30 gün anonimleştirme
• Aktarım: Bulut hizmet sağlayıcısı (veri işleme sözleşmesi mevcut), yetkili makam (yasal talep)

Her altı ayda bir, IT yöneticisi hotspot sisteminde saklanan veri miktarını kontrol etmeli, süresi dolmuş kayıtların silindiğini doğrulamalıdır. NextLog5651 gibi bulut sistemler, bu kontrolü otomatik dashboard üzerinden sunar (retention policy compliance raporu).

Ceza ve Risk Yönetimi: 5651 ve KVKK İhlallerinin Mali Boyutu

5651 sayılı kanuna göre, erişim loglarını tutmayan veya yetkili makam talebine cevap vermeyen işletmelere 5.000 TL idari para cezası uygulanır (madde 9/A). Ancak KVKK ihlalleri çok daha ağırdır:

Ek olarak, veri ihlali durumunda (örneğin hotspot veritabanının hacklenmesi) Kişisel Verileri Koruma Kurulu'na 72 saat içinde bildirim yapılmazsa ayrı ceza uygulanır. Otel işletmeleri için en büyük risk, manuel süreçlere bağımlı kalmak ve PMS-hotspot entegrasyonunu ihmal etmektir. Resepsiyonun her misafir için ayrı ayrı WiFi şifresi üretip kağıda yazması, hem operasyonel verimsizlik hem de KVKK açısından "veri güvenliği tedbiri eksikliği" anlamına gelir.

Sektörel Çözümler: Otel WiFi Altyapısında NextLog5651'in Rolü

NextLog5651, otel sektörüne özel olarak tasarlanmış bulut tabanlı 5651 loglama ve KVKK uyumlu hotspot platformudur. Opera, Elektraweb, Amonra gibi yaygın PMS sistemleri ile hazır entegrasyon modülleri sunar; check-in/check-out eventlerini otomatik dinler, misafir hesaplarını oluşturur ve saklama süresi politikalarını uygular. Sistem, FortiGate, Sophos, MikroTik, SonicWall gibi firewall/router markalarından syslog alır, RADIUS doğrulama sağlar ve tüm trafik loglarını şifreli bulut ortamında iki yıl boyunca saklar.

Öne çıkan özellikler:

• Otomatik KVKK uyum: Check-out + 30 gün sonra kimlik anonimleştirme, retention policy dashboard, veri sahibi talep yönetimi modülü
• Çoklu PMS desteği: Tek bir hotspot altyapısı üzerinden farklı otellerin farklı PMS'lerini yönetme (zincir oteller için ideal)
• Yetkili makam portal: Emniyet/savcılık taleplerine 7/24 güvenli web arayüzü üzerinden cevap, talep-log eşleştirme otomasyonu
• Misafir deneyimi: Captive portal özelleştirme, çoklu dil desteği, sosyal medya login (opsiyonel, KVKK açık rıza ile)
• Raporlama: Bandwidth kullanımı, cihaz tipi analizi, KVKK uyum skoru, saklama süresi uyarıları

Detaylı bilgi ve otel sektörüne özel çözümler için /sektorel-cozumler/otel sayfasını ziyaret edebilir, mevcut PMS altyapınıza uy